Linux帐户口令生存期策略
-
口令老化(Password aging)是一种增强的系统口令生命期认证机制,能够确保用户的口令定期更换,提高系统安全性。
-
http://man7.org/linux/man-pages/man5/login.defs.5.html
-
修改文件/etc/login.defs,配置
PASS_MAX_DAYS 90
Linux配置账户登录失败锁定策略
-
设置账户登录失败锁定策略,加大用户口令被暴力破解的难度。
-
http://man7.org/linux/man-pages/man8/pam_tally2.8.html
-
设置连续输错5次口令,帐号锁定5分钟。
在进行此项安全加固工作前,请先检查PAM模块版本,搜索pam_tally2是否存在,如果pam_tally2存在,修改配置文件。【注意: 各系统配置不一,请根据当前系统进行适当配置,并仔细评估对系统的影响】
修复方案(仅供参考,请勿直接配置):
centos
修改配置/etc/pam.d/password-auth(将配置添加到合适的位置):
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
account required pam_tally2.so
ubuntu,debian:
修改配置/etc/pam.d/common-auth(将配置添加到合适的位置):
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
修改配置/etc/pam.d/common-account参数(将配置添加到合适的位置):
account required pam_tally2.so
Linux帐户超时自动登出配置
-
配置帐户超时自动登出,在用户输入空闲一段时间后自动断开。
-
修改/etc/profile文件,设置定时账户自动登出时间
export TMOUT=180
限制root权限用户远程登录
-
限制root权限远程登录。先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作,可以提升系统安全性。
-
1. 修改文件/etc/ssh/sshd_config配置
PermitRootLogin no
2. 重启sshd服务
限制root登陆FTP
-
限制root用户登陆FTP。
-
centos:
1. 在文件/etc/vsftpd/ftpusers中增加root用户
2. 重启FTP服务
debain, ubuntu:
1. 在文件/etc/ftpusers中增加root用户
2. 重启FTP服务
限制匿名FTP
-
限制匿名FTP用户登录。
-
centos:
1. 修改配置文件/etc/vsftpd/vsftpd.conf, 配置:
anonymous_enable=NO
2. 重启FTP服务
debain, ubuntu:
1. 修改配置文件/etc/vsftpd.conf, 配置:
anonymous_enable=NO
2. 重启FTP服务